Vous êtes sur la page 1sur 59

Avec le soutien de Wallonie-Bruxelles International

SCURIT: UNE DMARCHE INTGRE


Prof. Jean-Nol Colin jean-noel.colin@fundp.ac.be

Agenda
2

Introduction Gestion des risques Modlisation des menaces Arbres dattaques

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Introduction

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Introduction
4

Ncessit dune dmarche


Structure Documente

Pour garantir
Compltude Validit Prennit

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Introduction
5

Diffrents niveaux
Niveau

organisation Niveau systme Niveau composant

Diffrents degrs de dtail Diffrents types de conclusion

Organisationnels Techniques

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


7

Objectifs de la dmarche
Comprendre Identifier Evaluer Dcider Planifier Prioritiser Ragir Communiquer

Etablir un rfrentiel

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


8

Processus continu
R-valuation

de la situation et des choix

Processus itratif
Du

systme au composant

Nombreuses mthodes danalyse de risques


Plus

ou moins complexes Octave, CRAMM, EBIOS, Mehari

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


9

Standardisation de la dmarche: ISO 27000 Technologies de l'information -- Techniques de scurit


27000

(2009): Systmes de management de la scurit de l'information -- Vue d'ensemble et vocabulaire 27001 (2005): Systmes de management de la scurit de l'information Exigences 27002 (2005): Code de bonne pratique pour le management de la scurit de l'information 27005 (2008): Management du risque de la scurit de l'information 27006 (2007): Exigences pour les organismes procdant l'audit et la certification des systmes de management de la scurit de l'information
Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


10

Quelques dfinitions (ISO 27000)


Actif

(asset): tout lment ayant une valeur pour lorganisation Vulnrabilit (vulnerability): faille du systme pouvant tre exploite par une menace Menace (threat): cause dun incident pouvant conduire la mise en danger de la scurit dun actif Risque (risk): probabilit de lexploitation dune vulnrabilit par une menace portant atteinte un actif

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


11

Quelques dfinitions (ISO 27000)


Analyse

de risque: identification systmatique des risques pesant sur le SI Estimation du risque: assignation dune mtrique la probabilit et limpact du risque valuation de risque: comparaison de lestimation du risque avec les critres dfinis par la politique de scurit

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


12

Une vulnrabilit provient


Dune
Pas

contre-mesure manquante

dencryption Pas de contrle daccs


Dune De

contre-mesure faible ou dfectueuse


cryptographique faible

Algorithme

la mconnaissance dune contre-mesure

Mauvaise

utilisation dencryption Pas dencodage des donnes

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


13

Processus de gestion des risques


Apprciation du risque Analyse de risque Identification du contexte Identification du risque Estimation du risque Evaluation du risque

Suivi et rvaluation

Acceptation du risque

Traitement du risque

Communication du risque
Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


14

Identification du contexte
Dcrit

le but du processus de gestion des risques Dfinition des critres


Evaluation

du risque de limpact

Dpendent de: valeur des processus, des actifs, conformit lgale, proprits de scurit (confidentialit, intgrit, disponibilit)

Evaluation

Dfinit une chelle Dpendent de: perte encourue, image, non-conformit avec la loi, violation de contrat, degr de classification des actifs impacts
Acceptation

du risque

Lie aux objectifs et politiques de lorganisation Dpendent de: objectifs business, aspects lgaux, technologiques, financiers

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


15

Identification du contexte
Dfinition
Lis

de lobjet et du primtre

aux objectifs de lorganisation, sa structure, aux processus, au contexte socio-culturel, lenvironnement lgal Ex. dobjet: application, infrastructure, processus, organisation
Organisation
Rles

mise en place pour la gestion des risques

et responsabilits Procdures de communication et descalation

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


16

Identification du risque
Objectif: comprendre ce qui pourrait causer un dommage lobjet de lanalyse Identification des actifs

Actifs primaires

Processus, information, connaissance Infrastructure, logiciel, site, personnel

Actifs secondaires Attribution dun propritaire

Identification des menaces


partir de listes existantes, de rapports dincidents, davis dexperts Typologie de menaces Source des menaces

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


17

Identification du risque
Identification
Diffrents

des mesures dj en place Identification des vulnrabilits


niveaux: environnement, personnel, procdures, matriel, logiciel, tiers Rsultat: liste de vulnrabilits en lien avec les actifs et menaces
Identification
Financires,

des consquences

rputation, temps (rparation, indisponibilit) Rsultat: liste des incidents et leurs consquences

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


18

Estimation du risque
Deux

facteurs

Impact Probabilit

Mthodes
Qualitative

Par ex: Bas, moyen, lev ou chelle 1-10 Facile comprendre mais subjectif

Quantitative

Valeurs numriques, drives de modles ou donnes antrieures Difficile dobtenir des valeurs ralistes

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


19

Estimation du risque

Haut Moyen Probabilit Bas


Approche simplifie

Impact 1 1 2 3 4
Approche semi-quantitative

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


20

Evaluation du risque
Classification

des risques daprs leur valuation compare avec les critres dvaluation et dacceptation dfinis dans le contexte Dtermine
Si

action doit tre prise Priorit de traitement

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


21

Traitement du risque
Dpend

du rapport cot/bnfice Diffrents types:


Acceptation

du risque Rduction du risque Transfert du risque Refus du risque

Risques rsiduels

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


22

Types de contre-mesures (ISO 27005)


Correction Elimination Prvention Minimisation Dtection Reprise

de limpact

sur incident Surveillance Education


Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


23

Acceptation (formelle) du risque


Validation

par le management des contrles slectionns et des risques rsiduels

Communication du risque
Objectif:

sassurer que toutes les parties sont informes et communiquent quant aux dcisions prises Communication bi-directionnelle

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


24

Suivi et r-valuation
Les

risques ne sont pas statiques: objectifs, contexte, actifs, menaces, vulnrabilits voluent
Apparition/disparition

Ncessit

de r-valuer rgulirement le contexte, les processus et contrles en place

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


25

Etablissement dun modle du domaine de la gestion des risques


Thse

de doctorat de N. Mayer (Avril 2009) Alignement des concepts, relations et mtriques tirs dune revue approfondie de ltat de lart
Standards

en gestion de risques Standards lis la scurit IT Standards lis la getion des risques de scurit Mthodes de gestions de risques Mthodes de gestion de la scurit en RE
Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


26

Rsultat
tablissement
Meilleure

dune terminologie commune

communication

Extensible

et volutif Intgration avec dautres approches


Langages

de modlisation orients scurit

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


27

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Mthode QuickWin
28

3 tapes
Mesure

de limportance du systme

Mesure

par les consquences subies par lorganisation en cas de dfaut de disponibilit, confidentialit, intgrit et preuve

Evaluation

des menaces et vulnrabilits Elaboration des mesures de scurit Evaluation du risque rsiduel, validation et dcision

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Mthode QuickWin
29

Mtrique
Nature des consquences Gravit Classification (C) (Diffusion restreinte)

dvaluation des risques


Pertes financires (F) <1MEUR Juridique (J) Image du service public (I) Plaintes occasionnelles Social et humain (S) Divulgation de donnes personnelles peu sensibles Atteinte passagre la rputation Atteinte srieuse lintgrit ou la rputation Perte de vie humaine/atteinte grave la rputation Autres (X)

Ordre Public (O) Perturbation locale et momentane Menace pour lordre public Difficult maintenir lordre public Ordre public gravement en pril

Sanctions internes

confidentiel

1-10MEUR

Actions en justice Condamnation de lautorit Condamnation internationale de lautorit

Critiques occasionnelles dans les mdias Critiques graves dans les mdias Altration dfinitive

secret

10-100MEU R > 100MEUR

Trs secret

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Mthode QuickWin
30

Mesure de limportance du systme


C O Nature des consquences F J I S Max X < 5min 5 min 1h 1j 1sem 1sem 1 mois > 1 mois

Disponibilit Indisponibilit

Intgrit Corruption accidentelle Corruption volontaire Perte de transaction 1 10 100 1000 10000

Confidentialit Divulgation hors des personnes autorises Preuve Caractre non-probant des enregistrements Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Mthode QuickWin
31

Evaluation des menaces et vulnrabilits


C O Nature des consquences F J I S Max X

Matriel Logiciel Rseau Personnel Site Organisation

Exemples:

Matriel

Vulnrabilit: stockage non protg Menace: Vol de media ou de documents Vulnrabilit: GUI complexe Menace: Mauvaise manipulation Vulnrabilit: Manque de formation Menace: Mauvaise manipulation

Logiciel

Personnel

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Mthode QuickWin
32

Elaboration des mesures


Maximiser

la scurit par rapport au cot des mesures Mesures de base


Mthodologies,

processus

Mesures

spcifiques
le risque valu aux tapes 1 & 2

Daprs Mode

Caractrises

par:

daction: prvention ou protection Localisation: technique ou humaine Cot: initial et rcurrent Impact sur les facteurs de scurit
Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Mthode QuickWin
33

Evaluation du risque rsiduel


Sur

base de la mesure de limportance du systme et de limpact des mesures prises de la qualit des solutions tablies et itration du processus si ncessaire

Monitoring
Suivi

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Gestion des risques


34

Conclusion
Gestion

des risques permet

Approche

stratgique Objectivation de la perception du risque Prioritisation des actions Constitution dun rfrentiel
Approche

non-triviale
ncessaires

Subjective Ressources

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

35

Modlisation des menaces

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


36

Mthode dapprciation et de documentation des risques lis une application


Centr

sur le logiciel

Etablissement dun document (modle de menaces)


Base

pour les spcifications de scurit Base pour les tests de scurit

Partie intgrante du processus de dveloppement Propose par Microsoft

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


37

Objectifs
Anticiper les menaces (attack goal) Comprhension des menaces portant sur le systme Support un design et une implmentation sre Dcouverte des vulnrabilits Fournir linformation de base pour la gestion de la scurit de lapplication (design et testing)

Objet

Application Web, Serveur, Classe

Hypothses de base
Lattaquant dispose dun moyen dinteragir avec le systme Le systme contient des actifs dintrt pour lattaquant

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


38

Profil de menaces du systme


Ensemble

des menaces dcouvertes Espace des problmes Ensemble des buts de ladversaire que le systme doit contrer Ensemble des spcifications de scurit du systme

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


39

Processus de modlisation
Comprendre la vue de ladversaire Points dentre Dfinir la scurit du systme Scnarios dutilisation Identification des menaces Actifs Hypothses et dpendances Dterminer les menaces

Niveaux de confiance

Modle du systme

Analyse des menaces/ vulnrabilits

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


40

Etape 1: Comprendre la vue de ladversaire


Ncessite
Points

une approche systmatique Base sur la connaissance de


dentre de lapplication Actifs de lapplication Niveaux de confiance et privilges
Utilise

une approche flux de donnes (Data Flow Diagram)

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


41

Point dentre
Point dinterface du systme Permet ladversaire dinteragir avec le systme

point dattaque

Exemple:
Port dcoute du serveur Page du site (jsp, asp) Fichier de configuration

Point de sortie

Divulgation dinformation, prparation dautres types dattaque, XSS

Description: Id, nom, description, privilges (niveaux de confiance)

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


42

Actif
Objectif

de ladversaire Diffrents types:


Matriel Logiciel Donne,

information Rputation Scurit


Exemple:
DB

de cartes de crdit, fichier clients, disponibilit du site

Description:

Id, nom, description, privilges

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


43

Privilge (niveau de confiance)


Dfinit
Plus

des groupes ou rles Permet de prioritiser les points dentre


anonyme plus dadversaires potentiels
Description: Exemples
Utilisateur

Id, nom, description

anonyme, utilisateur authentifi, diteur du site, administrateur du site

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


44

Etape 2: modliser lapplication pour


Dfinir

le cadre dintrt Collecter linformation ncessaire Supporter llaboration du modle de menaces

Deux tapes
Dfinition

du contexte Modlisation de lapplication

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


45

Dfinition du contexte
Scnarios

dutilisations

Dfinissent

les modes dutilisation pour lesquels le systme est prvu ou nest pas prvu Concernent aussi le dploiement

Par ex. la connexion entre le serveur web et le serveur DB a lieu sur un lien scuris

Permettent

de limiter lanalyse en dcrivant les cas qui sont considrs et ceux qui ne le sont pas

Dpendances
Hypothses

vis vis de composants externes

sur les changes et interactions avec des composants externes au systme

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


46

Dfinition du contexte
Notes

de scurit externe

Information

de scurit pour les tiers (utilisateurs, systmes) concernant le systme Par ex. pas de gestion de la qualit des mots de passe. Ceci est donc laiss lutilisateur
Notes

de scurit interne
des choix dans la conception du systme

Description

Hypothses

dimplmentation

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


47

Modlisation du systme
Diagramme
Processus Processus

de Flux de Donnes (DFD)

multiple: composition de processus Entit externe Stockage de donnes Flux de donnes Limite de privilges
Hirarchie

de diagrammes Offre une vue densemble du systme


Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


48

Exemple de DFD
SMTP Server LDAP Server Envoi message JMS Rception message JMS Application Server Invocation Web Service Rponse Web Service DB Server

Client

Config. & Fichiers .ear

Stockage DB

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


49

Etape 3: dtermination des menaces et vulnrabilits


Identification

des mcanismes par lesquels un adversaire cherche porter atteinte la scurit dun actif Menace lie un ou plusieurs actifs (= cible) Diffrents points de dpart
Vulnrabilit Liste

connue

dactifs

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


50

Classification des menaces: STRIDE


Usurpation

d'identit (Spoofing) Falsification de donnes (Tampering) Rpudiation Divulgation d'informations (Information leakage) Refus de service (Denial of Service) lvation du privilge (Elevation of privilege)

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


51

Exemple de menace
Adversaire

obtient des credentials valides pour le

website
Classification:

STIE Actifs impacts: liste des utilisateurs, confidentialit du systme Points dentre: site web

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


52

Identification des vulnrabilits


Dcomposition

dune menace en arbre de conditions Vrification de la ralisabilit de la condition Une vulnrabilit existe sil existe un chemin entre une feuille et la racine sans contre-mesure
Menace
Condition 1 Condition traite Condition non-traite Condition 2 Condition 3

et
Condition 2.1 Condition 2.2 Condition 3.1 Condition 3.2

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


53

Classification des vulnrabilits: DREAD


5

critres

Potentiel

dimpact (Damage Potential) Reproductibilit Exploitabilit Nombre dutilisateurs affects (Affected Users) Probabilit de dcouverte (Discoverability)
Assignation
Range

dune valeur numrique chaque critre

limit (typiquement 3-5)

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Modlisation des menaces


54

Dfinit le profil de menace du systme Permet de guider le dveloppement et le test En perptuelle volution

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

55

Arbres dattaques (attack tree)

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Arbres dattaques
56

Technique propose par Bruce Schneier dans Dr. Dobb's Journal en dcembre 1999
Pour

modliser des attaques et leurs conditions doccurrence Dcomposition du but de lattaque en sous-buts ou conditions Dcomposition rcursive Noeuds dun mme niveau lis par ET ou OU

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Arbres dattaques
57

Exemple (incomplet)
Accs section administrative

Obtenir credentials dun admin ET Social engineering

Rcuprer une session non ferme

Exploiter une faille dans lapplication

Obtenir username

Obtenir mot de passe

Message erreur

Brute force

Brute force

Attaque dictionnaire

Ecoute rseau

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Arbres dattaques
58

Complter larbre
Assigner

une valeur aux nuds

Numrique,

boolenne Possible/Impossible: un nud OU est possible si au moins 1 de ses fils lest; un nud ET est possible si tous ses fils le sont Cot: le cot dun nud OU est le min du cot de ses fils; le cot dun nud ET est la somme du cot de ses fils Difficult
Permet
Quel

de raisonner sur la scurit du systme

est le cot dune attaque? Quel est le chemin dattaque le plus probable?

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009

Conclusion
59

Mthodes structures, applicables diffrents niveaux Vraiment applicable?

Oui

et non Ncessit de trouver un compromis entre le cot et le bnfice Ncessit dallouer les ressources ncessaires Ncessit dune culture de la scurit et de gestion du risque

Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009